Una nuova variante di Maze, uno dei ransomware più temuti nel panorama delle cyber minacce, ha appena aggiunto un’altra arma al proprio arsenale, prendendo in prestito una tecnica osservata per la prima volta da un altro “competitor”, Ragnar Locker.
Si tratta della distribuzione dei payload attraverso le macchine virtuali (VM). Un nuovo approccio pensato per evitare di “sbattere” contro le soluzioni di difesa degli endpoint.
Indice degli argomenti
Nuova variante del ransomware Maze: come riconoscerla
Secondo una recente ricerca, il gruppo dietro l’omonimo ransomware è stato osservato consegnare il malware sottoforma di una VirtualBox Disk Image (una forma di file VDI). Il file VDI in sé e per sé veniva invece consegnato nascosto all’interno di un file MSI, usato principalmente per l’installazione e la rimozione di programmi Windows.
Per assicurarsi di far funzionare la VM all’interno del network bersaglio, gli aggressori hanno utilizzato una vecchia copia (vecchia di almeno 11 anni!) dell’hypervisor della VirtualBox all’interno del file .msi. Questo ha permesso loro di far funzionare la VM senza far risultare presente alcuna interfaccia utente e come applicazione affidabile, aiutando così il ransomware a nascondersi.
Un vantaggio amplificato dal fatto che la maggior parte delle soluzioni endpoint hanno visibilità unicamente sui drive “fisici” e non sulle VM, che di solito necessitano delle loro soluzioni separate di monitoraggio.
Questo ha permesso al ransomware di “girare” liberamente all’interno delle VM, lontano dalla portata dei software e soluzioni di sicurezza.
In questo modo tutti i dati sui drive e sulle macchine fisiche vengono sistematicamente attaccati dalla “apparentemente legittima VboxHeadless.exe, il software di virtualizzazione di VirtualBox.
Nell’ultimo attacco perpetrato con questo metodo, Maze era riuscito a nascondere il payload del suo omonimo ransomware all’interno di un installer di Windows 7.
Il percorso scelto per questa infezione conteneva sia l’installer della versione 32 bit sia di quella a 64 bit di VirtualBox 3.0.4 (una versione del 2009). E la scelta di Windows 7 non è casuale, perché anche se è vero che un installer di Windows 7 è considerevolmente più “pesante” di Windows XP (la versione del sistema operativo sfruttata da Ragnar Locker), questo permette agli operatori di Maze di avere un numero maggiore di funzionalità.
Come avviene l’attacco
È interessante anche notare come la fase di ricognizione prima dell’attacco di Maze fosse durata almeno sei giorni.
Un classico del gruppo di criminal hacker, che è solito spendere giorni all’interno dei sistemi bersaglio. In questo caso avevano abusato dei loro accessi per costruire liste di IP dentro il network vittima utilizzando uno dei domain controller della vittima e esfiltrando dati verso un cloud esterno.
Una volta che il ransomware si era propagato all’interno del sistema, la richiesta di riscatto recapitata alla vittima sembra sia stata di 15 milioni di dollari. Ma il bersaglio in questo caso si è rifiutato di pagare.
Un pericolo scampato, forse, visto che Maze è da annoverare tra quei gruppi di criminal hacker che hanno iniziato a utilizzare la tattica del “doppio riscatto”, dove la vittima si vede ricattata dalla minaccia di un data leak nel Dark Web in caso di mancato pagamento.
Ad aprile, per rinforzare la validità della loro minaccia, Maze aveva creato una pagina web che elencava per nome tutte le organizzazioni che erano state colpite e si erano rifiutate di pagare, aggiungendo anche piccoli “campioni” dei dati in loro possesso.
Le vittime, che superavano la quarantina in numero, comprendevano studi legali, ospedali, assicurazioni e istituti di credito.
Come difendersi dalla nuova variante del ransomware Maze
La nuova variante del ransomware Maze testimonia di come anche tra i criminal hacker l’attitudine al cambiamento e all’innovazione non manca. E con il costante miglioramento delle soluzioni di protezione degli endpoint, sembra proprio che anche gli aggressori abbiano cambiato marcia.
In questo caso, la difesa contro un attacco così raffinato passa da un framework di sicurezza ben impostato, con diversi layer di protezione in grado di “coprire” sia l’aspetto tecnologico sia quello umano.
Ridurre la superfice d’attacco richiede sia l’impiego di attività regolari di security testing come Penetration Test, Vulnerability Assessment e Network Scan, sia un sistema ben congeniato di Early warning come Cyber Threat Intelligence e Domain Threat Intelligence.
A questo dobbiamo aggiungere la parte “umana” dell’equazione, con attività mirate di training e awareness in grado di mettere i dipendenti dell’organizzazione nelle condizioni di riconoscere ed evitare una minaccia.
Non dobbiamo mai dimenticare, infine, che tutte le aziende sono un possibile target: ogni e-mail di phishing, ogni RDP mal configurato, ogni gateway di rete vulnerabile o set di credenziali rubate rappresentano una porta di accesso che i criminal hacker possono sfruttare per fare irruzione nei sistemi della vittima e diffondere la propria infezione ransomware.
